[发明专利]一种基于拟态防御Sketch的执行体集构建方法

说明书

本发明涉及一种基于拟态防御Sketch的执行体集构建方法，包括步骤：从待机集中随机抽取Sketch，组建运行集；按照预先配置好的策略将运行集内Sketch分为行粒度Sketch与桶粒度Sketch；通过行映射函数将行粒度Sketch分别映射至执行体集数据结构中的行，并记录映射关系；通过桶映射函数将桶粒度Sketch分别映射至执行体集数据结构中的桶，并记录映射关系；当插入数据包时，调用数据包哈希值对应的桶数据结构相应的Sketch插入函数；当查询异常流时，遍历执行体集数据结构，并调用相应查询函数。本发明能够在增强网络测量鲁棒性的同时，减小由于拟态化构造所带来的额外巨大时空开销。

技术领域

本发明涉及拟态防御领域与网络测量领域，特别是一种基于拟态防御Sketch的执行体集构建方法。

背景技术

随着互联网的发展，网络环境日趋复杂、多样，网络攻击手段层出不穷，网络空间安全形势严峻。为避免网络防御失守带来的巨大损失，需及时发现潜在安全威胁。以Sketch为代表的网络测量技术实时监测网络，统计流量信息，并准确反馈网络状态，为网络管理员提供网络的实时信息，因而越来越受到人们重视。然而，当承载网络测量功能的设备（如数据中心当中的交换机）遭受网络攻击或流量分布超出人工预先配置模型时，网络测量的性能将大打折扣。拟态防御的出现为如何提高在异常场景下网络测量的性能提供了一种方案。

拟态防御主要用于网络领域的防御，例如拟态路由器、拟态交换机、拟态DNS服务器等。拟态防御以异构冗余体制为基础，引入动态性、随机性，提出了一种异构、冗余、动态的防御架构。拟态防御架构主要由输入代理器、可重构异构执行体集、输出裁决器、反馈控制器、输出代理器五部分组成。通过可重构异构执行体集的设计，增大系统异构性，从而增大系统有效性；通过输出裁决器提供准确的输出；通过反馈控制器支撑闭环控制环节。从而，拟态防御架构可以有效应对网络空间当中的“未知风险”，将拟态防御引入网络测量，可以很好解决异常场景下网络测量性能不足的问题。然而，传统拟态防御架构将巨大的额外时空开销，无法满足网络测量的实时、高效的要求。

发明内容

有鉴于此，本发明的目的是提出一种基于拟态防御Sketch的执行体集构建方法，能够在增强网络测量鲁棒性的同时，减小由于拟态化构造所带来的额外巨大时空开销。

本发明采用以下方案实现：一种基于拟态防御Sketch的执行体集构建方法，具体包括步骤：

从待机集中随机抽取Sketch，组建运行集；

按照预先配置好的策略将运行集内Sketch分为行粒度Sketch与桶粒度Sketch；

通过行映射函数将行粒度Sketch分别映射至执行体集数据结构中的行，并记录映射关系；

通过桶映射函数将桶粒度Sketch分别映射至执行体集数据结构中的桶，并记录映射关系；

当插入数据包时，调用数据包哈希值对应桶数据结构相应的Sketch插入函数；

当查询异常流时，遍历执行体集数据结构，并调用每个通数据结构相应的Sketch查询函数。

进一步地，所述待机集为当前未使用的Sketch组成的集合；所述运行集为当前正被使用的Sketch的集合。

进一步地，所述行映射函数与桶映射函数采用哈希函数。

进一步地，所述执行体集数据结构由Sketch原子数据结构组成，以二维表的形式组织，Sketch原子数据结构为Sketch算法发挥网络测量功能的最小数据结构；其中的映射具体为：将行粒度或桶粒度Sketch的编号与执行体集数据结构中的行或桶的编号定义为一个二元组，所记录的映射关系为包含所有二元组的表。